Amazon EC2: EC2 インスタンスにボリュームをアタッチまたはデタッチする - AWS Identity and Access Management

Amazon EC2: EC2 インスタンスにボリュームをアタッチまたはデタッチする

この例では、EBS ボリュームの所有者が指定された EC2 インスタンスにボリュームをアタッチまたはデタッチすることを許可する IAM ポリシーを作成する方法を示します。インスタンスは Condition 要素の ARN で指定します。このポリシーでは、AWS API または AWS CLI からのみこのアクションを実行するためのアクセス許可を付与します このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。

Amazon EC2 インスタンスは、インスタンスプロファイルにアタッチされている EC2 インスタンスのAWS サービスロールによって付与されたアクセス許可で AWS コマンドを実行できます。このポリシーをロールにアタッチするか、このステートメントを既存のポリシーに追加することができます。instance-id により特定されるインスタンスのみが、独自のものを含め、アカウントのインスタンスへボリュームをアタッチまたはデタッチできます。より大規模なポリシーに含まれる可能性のあるその他のステートメントの要素は、この 1 つのステートメントの制限によって影響を受けません。Amazon EC2リソースへのアクセスを制御するIAMポリシーの作成の詳細については、「Linuxインスタンス用AmazonEC2ユーザーガイド」の「AmazonEC2リソースへのアクセスの制御」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:instance/*" ], "Condition": { "ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"} } } ] }